Cloud Computing ohne Donnerwetter

Sicherheit und Datenschutz als Auswahlkriterien für Cloud-Dienste

Seite: 2/2

Firmen zum Thema

Welcher Cloud-Ansatz ist der richtige?

Die Ansprüche im Datenschutz sind das entscheidende Kriterium für die Auswahl der Cloud-Form. Unternehmen sollten sich daher bei der Entscheidung genau überlegen, wie sensibel ihre Daten sind und dabei die Datenschutz-Richtlinien im Auge behalten. Zum einen, weil sie in einigen Fällen für den Verlust haftbar gemacht werden können. Zum anderen, weil Wirtschaftsspionage in Zeiten des Internets stetig zunimmt.

Bedienfehler, Cyberkriminalität sowie nicht ausreichende Gesetzesgrundlagen in den Ländern, in denen sich der Sitz des Cloud-Anbieters befindet, sind die drei Ursachen für einen Datenverlust in der Cloud. Der gravierendste Unterschied bei der Entscheidung für die Cloud-Form ist das Kriterium, ob sich Unternehmen an deutsche, europäische oder eben an keine besonderen Datenschutz-Vorschriften halten müssen.

So gilt für Unternehmen mit Sitz in Deutschland das seit 1984 bestehende Bundesdatenschutzgesetz. Laut dem Gesetz ist daher das Unternehmen für die Daten verantwortlich, das personenbezogene Daten für sich erhebt, verarbeitet oder nutzt. Dieses muss den Datenschutz entsprechend gewährleisten. Auf Grundlage der Auftragsdatenverarbeitung dürfen auch weitere Parteien in den Prozess mit einbezogen werden, in diesem Fall müssen sie jedoch die Anforderungen des § 11 Bundesdatenschutzgesetz (BDSG) erfüllen.

Aus Sicht der Datenschützer sind beim Cloud Computing nur die personenbezogenen Daten relevant. Unternehmen tun allerdings gut daran, auch ein Augenmerk auf den Schutz ihrer sensiblen Daten, wie beispielsweise Entwicklungsdaten, zu legen. Eine gesicherte Verwendung von Cloud Computing wird durch zwei Vorkehrungen gewährleistet: Eine Einrichtung zum Schutz der gespeicherten Daten sowie eine Absicherung der darunterliegenden Instanz, die den Zugriff auf die Daten ermöglicht.

Die beste Maßnahme zum Schutz der Daten in der Cloud bietet derzeit die Verschlüsselung des externen Storage. Die Verschlüsselung sollte mit einem separaten Schlüssel-Management umgesetzt werden, das nicht innerhalb der Cloud betrieben wird. Dieser Ansatz ist auch unter dem Begriff Private-Key-Management bekannt.

Beim Private-Key-Management behält nicht mehr der Cloud-Anbieter, sondern der Kunde selbst den Schlüssel. Die Daten werden verschlüsselt in der Cloud gespeichert. Somit werden die Daten mit Hilfe des Verfahrens bereits während des Ablegens in der Wolke geschützt. Der geheime Schlüssel zum Zugriff auf die Daten wird beim Anbieter der Verschlüsselungslösung – oder auch beim Kunden selbst – verwahrt. Der Cloud-Anbieter hat keine Möglichkeit, die eigentlichen Daten zu lesen. Gleiches gilt für Mitnutzer der Cloud. Gehen die Daten verloren, sind sie weiterhin verschlüsselt und für Externe unbrauchbar.

Fazit

Bei der Umsetzung von Cloud Services müssen sich Unternehmen ihrer Verantwortung bewusst sein und penibel auf die Datensicherheit achten. Denn sollten Daten verloren gehen oder gar gestohlen werden, haftet in der Regel das Unternehmen hierfür. Um potentielle Regressansprüche abzuwenden, wählen die Verantwortlichen im Idealfall einen Cloud-Anbieter, der seine Dienste konform zu den national und international geltenden Datenschutz-Richtlinien betreibt.

Zudem sollten sie sicherheitsrelevante Daten verschlüsseln und sehr kritische Informationen, wie z.B. Personaldaten, Daten aus F&E, etc. bestenfalls gar nicht in die Cloud geben. Zumindest nicht, so lange es keine internationalen Regeln in diesem Bereich gibt und Anbieter durch externe Zertifikatsvergabe als sicher deklariert werden können.

Ralf Schiemann ist Chief Technology Officer (CTO) der IQ-NET AG.

(ID:2052852)